Defiantはこのほど、「Age Gate <= 3.5.3 - Unauthenticated Local PHP File Inclusion via 'lang'」において、WordPressのコンテンツ年齢制限プラグイン「Age Gate」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、認証されていないリモートの攻撃者に機密データの窃取または任意のコードを実行される可能性がある。

  • Age Gate <= 3.5.3 - Unauthenticated Local PHP File Inclusion via 'lang'

    Age Gate <= 3.5.3 - Unauthenticated Local PHP File Inclusion via 'lang'

脆弱性の情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-2505 - 制限ディレクトリの不適切な制限の脆弱性。認証されていないリモートの攻撃者は、サーバ上の任意のPHPファイルを読み込み実行することができる。その結果、アクセス制御の回避、機密データの窃取、ファイルのアップロードとその読み込みにより任意のコードを実行できる可能性がある(CVSSスコア: 9.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Age Gate 3.5.3およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Age Gate 3.5.4

影響と対策

コンテンツ年齢制限プラグイン「Age Gate」は4万サイト以上にインストールされている人気のWordPressプラグインだ。執筆時点におけるダウンロード数の推移から、7割以上のWebサイトが脆弱なバージョンを運用しているものとみられる。

  • プラグインのバージョン分布 - 引用:wordpress.org

    プラグインのバージョン分布 引用:wordpress.org

発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。